Beaucoup de mal avec IpSec



  • Bonjour à tous

    J'ai un gros soucis avec la config d'IpSec
    J'ai suivis plusieurs tutoriels dont celui-ci
    Mais j'ai beaucoup de mal à le faire fonctionner
    Je n'arrive pas avec un client distant à me connecter au réseau local.

    De l'aide please ?

    Merciiiii  ;)



  • Nobody?  ???



  • Regardes les logs d'IPSEC, regarde dans Status -> IPSEC quel est le statut des tunnels.
    Sans plus d'infos impossible de t'aider.



  • Dans Status IpSec
    Rien dans SAD

    Voilà ce qu'il y a dans SPD

    Ce sont des IP fictives car tout en virtuel (vmware)

    Ainsi que les services qui tournent






  • @Orishas:

    Dans Status IpSec
    Rien dans SAD

    Voilà ce qu'il y a dans SPD

    Ce sont des IP fictives car tout en virtuel (vmware)

    Ainsi que les services qui tournent

    Tout à l'air beau dans SPD. SAD est vide donc les tunnels ne fonctionnent pas. Peux-tu poster une partie des logs IPSEC ça nous aidera à diagnostiquer…



  • Sorry mais… no comprendo les LOGS

    Je pensais que cétait ce que j'ai posté en fichier attaché

    STATUS --> IPSEC




  • Voilà les logs de IPSEC

    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
    Apr 29 14:03:32 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Apr 29 14:03:32 racoon: INFO: ::1[500] used as isakmp port (fd=14)
    Apr 29 14:03:32 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
    Apr 29 14:03:32 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
    Apr 29 14:03:32 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
    Apr 29 14:03:32 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Apr 29 14:03:32 racoon: INFO: ::1[500] used as isakmp port (fd=14)
    Apr 29 14:03:32 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
    Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.0/24[0] 192.168.50.0/24[0] proto=any dir=out
    Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.1/32[0] 192.168.3.0/24[0] proto=any dir=out
    Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.50.0/24[0] 192.168.3.0/24[0] proto=any dir=in
    Apr 29 14:03:29 racoon: ERROR: such policy already exists. anyway replace it: 192.168.3.0/24[0] 192.168.3.1/32[0] proto=any dir=in
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
    Apr 29 14:03:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Apr 29 14:03:29 racoon: INFO: ::1[500] used as isakmp port (fd=14)
    Apr 29 14:03:29 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
    Apr 29 14:03:29 racoon: INFO: unsupported PF_KEY message REGISTER
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fd0%le0[500] used as isakmp port (fd=22)
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.1.1[500] used as isakmp port (fd=21)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fda%le1[500] used as isakmp port (fd=20)
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.2.1[500] used as isakmp port (fd=19)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fe4%le2[500] used as isakmp port (fd=18)
    Apr 29 14:03:29 racoon: [Self]: INFO: 192.168.4.1[500] used as isakmp port (fd=17)
    Apr 29 14:03:29 racoon: INFO: fe80::20c:29ff:fe6c:2fee%le3[500] used as isakmp port (fd=16)
    Apr 29 14:03:29 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
    Apr 29 14:03:29 racoon: INFO: ::1[500] used as isakmp port (fd=14)
    Apr 29 14:03:29 racoon: INFO: fe80::1%lo0[500] used as isakmp port (fd=13)
    Apr 29 13:50:10 racoon: [Self]: INFO: 192.168.3.1[500] used as isakmp port (fd=23)

    C'est ça?



  • C'est bien ça…
    Peux-tu résumer tes réglages IPSEC?



  • A quoi correspond Remote subnet et Remote gateway dans le fichier joint?
    Je pense qu'il y a un soucis là aussi
    En vérité, je ne sais plus quoi y mettre.

    Merci !!!  :)




  • Juste une p'tite question…
    Pour faire du VPN, il faut 2 pfSense?



  • @Orishas:

    Juste une p'tite question…
    Pour faire du VPN, il faut 2 pfSense?

    Oui(?!)
    Ou du moins deux appareils capable d'entretenir un tunnel IPSEC, il y a des routeurs Linksys par exemple (ou Cisco ou autres) qui le font, mais tu auras définitivement besoin d'une machine à chaque bout du tunnel.



  • Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
    De là à mettre des PfSense chez chaque Users, ya une marge non?



  • @Orishas:

    Je pensais (bêtement) que si un employé se connectait de chez lui via Internet avec son ordi et via son routeur ADSL ou Câble , il pouvait avoir accès au VPN et entrer dans le LAN de l'entreprise.
    De là à mettre des PfSense chez chaque Users, ya une marge non?

    À ce moment là ce n'est pas un tunnel point-à-point que tu veux, mais un lien client-à-site (clients mobiles).
    Effectivement c'est possible simplement en installant un client VPN sur tes machines client, sauf que:
    1. La configuration de pfSense n'est pas la même, tu as probablement suivi un tutoriel point-à-point.
    2. IPSEC sur pfSense ne supporte pas NAT-T (NAT Traversal) dans 1.2. Ceci sera corrigé dans 1.3, mais en attendant ça veut dire que si tes clients sont derrière un routeur un n'importe quelle forme de NAT chez eux, il leur sera impossible de se connecter à pfSense.

    En attendant NAT-T, je te conseille d'utiliser PPTP pour des clients mobiles. Tu peux faire un mix-and-match entre IPSEC et PPTP (ex: j'utilise IPSEC pour entretenir des tunnels permanents entre mes succursales, mais j'ai aussi des clients mobiles qui se connecte par PPTP). PPTP fonctionne à travers un NAT.


Locked